Domingo 22 de Diciembre de 2024, 06:18
SoloCodigo
Bienvenido(a),
Visitante
. Por favor,
ingresa
o
regístrate
.
¿Perdiste tu
email de activación?
Inicio
Foros
Chat
Ayuda
Buscar
Ingresar
Registrarse
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Kelvir.eo
« anterior
próximo »
Imprimir
Páginas: [
1
]
Autor
Tema: Kelvir.eo (Leído 1731 veces)
RadicalEd
Moderador
Mensajes: 2430
Nacionalidad:
Kelvir.eo
«
en:
Viernes 30 de Junio de 2006, 14:58 »
0
Peligrosidad: 3 - Media
Difusión: Baja Fecha de Alta:29-06-2006
Última Actualización:29-06-2006
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Kelvir.EO
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:W32/Kelvir.EO.worm (Panda Software)
Detalles
Kelvir.EO realiza las siguientes acciones:
* Se conecta al canal #dvm del servidor IRC Microsoft-systems.net, a través del puerto 5555, y espera órdenes de control remoto para llevar a cabo en el ordenador afectado.
* Puede recibir cualquiera de las siguientes órdenes:
o Obtener claves de Protected Storage, donde se encuentran almacenadas las contraseñas de Outlook, Internet Explorer, etc.
o Robar cuentas de correo de America Online.
o Actualizar la caché DNS (Domain Name System).
o Abrir una consola CMD.EXE remota.
o Listar y finalizar procesos.
o Escanear un ordenador determinado.
o Iniciar o detener la búsqueda de ordenadores vulnerables.
o Obtener información sobre el ordenador, como memoria disponible o discos duros.
o Actualizarse a sí mismo.
o Eliminarse a sí mismo.
* Instala el rootkit Ruffle.A, que utiliza para ocultarse.
Kelvir.EO crea los siguientes archivos:
* RIFK.EXE en el directorio de Windows. Este archivo es una copia del gusano.
* ROFL.SYS en el directorio de sistema de Windows. Este archivo es detectado como el rootkit Ruffle.A.
Kelvir.EO se propaga a través de Internet y realiza el siguiente proceso:
* Instala su propio servidor FTP (File Transfer Protocol) en el ordenador afectado.
* Genera direcciones IP aleatorias.
* Intenta explotar las vulnerabilidades LSASS, RPC DCOM, Workstation Service y Plug and Play en los ordenadores remotos.
* Si lo consigue, transfiere una copia de sí mismo al ordenador comprometido a través de FTP.
Tweet
El pasado son solo recuerdos, el futuro son solo sueños
Imprimir
Páginas: [
1
]
« anterior
próximo »
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Kelvir.eo